はい！
こんにちは！

今日は珍しくセキュリティについて一言です！

タイトルにある通り、

XSSはそのサイトを信頼している人が多いほど脅威になりうる

ってことなんだけど…。これだけだと、あたりまえっぽいよね。

まずXSS脆弱性ってなに？ って人のために簡単に説明しちゃうと、これ
サイトを作った人以外の人でも、好きなスクリプトを実行できちゃう状態
ってことなんだよね。

でもよく考えてみてほしい。
スクリプトが実行できる。へんなスクリプトが実行されちゃうかもしれないページ。
これって別に、「ふつうにスクリプトを許可されている、そこらへんのブログやホームページと同じ」じゃない？

いや、微妙に違うかな。
違う点はひとつ。

スクリプトを埋め込めるのが「サイトの管理者オンリー」なのか「誰でも」なのかの違いがあるんだよね。

…

じゃあ、「名もなきサイトの管理者」と「誰でも」の違いってなんだろう？

なんだろうね。

…じゃあ、「Googleの管理者」と「誰でも」の違いなら？

それはたぶん信頼じゃないかな。

ある程度信頼できるサイトには、メールアドレスを登録したり、あるいはカード番号まで預けたりできちゃう。
へんなことされないだろうって思うから。

だからこそ、みんなから信頼されているサイトでXSS脆弱性が発覚したりすると大変！
カード番号は盗まれちゃうわ、ひみつメールの内容を覗かれちゃうわで、とんでもないことに…！

でも逆に、まだまだ誰からも信頼されていないサイトなら？
とても怖くてカード番号なんか入力しないよね。
ひみつメールも書かない。

てことは、タイトルに書いてあることを逆に言うと、こうはならないかな。

みんなからの信頼がないサイトはXSSできてもどうってことない

確かに脆弱ではあるのかもしれないけど、セキュリティホールってほど大層なもんじゃないよ。

踏み台？
なにそれおいしいの？
それgeocitiesでもできるよ！

(あわせて読みたい → ) セキュリティ過敏症